Saltar al contenido principal

ISO 27002

ISO/IEC 27002:2022 Controles Organizacionales. Todo lo que necesita saber III

Portada » Blog Calidad y Excelencia » ISO/IEC 27002:2022 Controles Organizacionales. Todo lo que necesita saber III

ISO/IEC 27002:2022

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información es el más reciente de los estándares publicados por la Organización Internacional de Normalización (ISO) incluye controles genéricos de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente, además ofrece una guía de implementación.

En ISOTools nos proponemos explicar todo el apartado 5, que incluye 37 controles, a lo largo de 3 artículos. En esta tercera entrega abordaremos desde el punto 5.24 hasta el 5.37. ¿Por qué nos enfocamos en todo el apartado 5? Porque explica el primero de 4 temas. Estos son los controles:

  1. físicos, si se trata de objetos físicos;
  2. propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
  3. personas, si se refieren a individuos;
  4. tecnológicos, si se trata de tecnología.

El apartado 5 es, además, el más extenso y por ello ocupará nuestra atención.

Cuando leemos el punto 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información nos encontramos con esta tabla explicativa:

Tipo de controlPropiedades de SIConceptos CiberseguridadCapacidades operativasDominios de seguridad
#Correctivo#Confidencialidad
#Integridad
#Disponibilidad
#Responder
#Recuperar
#Gobernanza
#Gestión de eventos de SI#Defensa

Luego llegamos al 5.25 Evaluación y decisión sobre eventos de seguridad de la información, que es un control detectivo diseñado para asegurar una categorización y priorización efectiva de los eventos de seguridad de la información.

El control 5.26 Respuesta a incidentes de seguridad de la información es un control correctivo que busca garantizar una respuesta eficiente y eficaz a los incidentes de seguridad de la información.

Aprendiendo de los incidentes de seguridad de la información (5.27) es un control preventivo del que podemos conocer más gracias a la siguiente tabla:

Descargue el e-book fundamentos de gestión de Seguridad de la Información

A continuación, mencionaremos la totalidad de controles que incluye el punto 5 de la norma:

  • 28 Recopilación de pruebas: es un control que consiste en establecer e implementar procedimientos para la identificación, recopilación, adquisición y preservación de evidencia relacionada con eventos de seguridad de la información.
  • 29 Seguridad de la información durante la interrupción: la norma enfatiza que la organización debe planificar cómo mantener la seguridad de la información en un nivel adecuado durante la interrupción. Su leitmotiv es proteger la información y otros activos asociados durante la interrupción.
  • 30 Preparación de las TIC para la continuidad del negocio: El estándar nos alienta a pensar en todo. Por eso la preparación de las TIC debe planificarse, implementarse, mantenerse y probarse en función de los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC. El punto es garantizar la disponibilidad de la información de la organización y otros activos asociados durante la interrupción.
  • 31 Requisitos legales, estatutarios, reglamentarios y contractuales: este control apunta que los requisitos legales, estatutarios, reglamentarios y contractuales relevantes para la seguridad de la información y el enfoque de la organización para cumplir con estos requisitos deben identificarse, documentarse y mantenerse actualizados.
  • Si queremos conocer más sobre 32 Derechos de propiedad intelectual podemos remitirnos a la siguiente tabla:
Tipo de controlPropiedades de SIConceptos CiberseguridadCapacidades operativasDominios de seguridad
#Preventivo#Confidencialidad
#Integridad
#Disponibilidad
#Identificar
#Proteger
#Gestión de eventos de SI#Defensa
  • 33 Protección de registros: este control no deja lugar a dudas cuando expresa que los registros deben protegerse contra pérdida, destrucción, falsificación, acceso no autorizado y publicación no autorizada. Se propone garantizar el cumplimiento de los requisitos legales, estatutarios, reglamentarios y contractuales, así como las expectativas de la comunidad o la sociedad relacionadas con la protección y disponibilidad de los registros.
  • 34 Privacidad y protección de PII: este es un control preventivo que amerita que la organización identifique y cumpla los requisitos relacionados con la preservación de la privacidad y la protección de la PII de acuerdo con las leyes y reglamentos aplicables y los requisitos contractuales.
  • 35 Revisión independiente de la seguridad de la información: las nociones de ética y eficiencia se hacen presente en este control, según el cual el enfoque de la organización para gestionar la seguridad de la información y su implementación, incluidas las personas, los procesos y las tecnologías, debe revisarse de forma independiente a intervalos planificados o cuando se produzcan cambios significativos. Con esto se pretende asegurar la idoneidad, adecuación y eficacia continuas del enfoque de la organización para gestionar la seguridad de la información.
  • 36 Cumplimiento de políticas, normas y estándares de seguridad de la información: el compliance es más importante que nunca. Por eso el cumplimiento de la política de seguridad de la información de la organización, las políticas específicas del tema, las reglas y los estándares debe revisarse periódicamente para garantizar que la seguridad de la información se implemente y opere de acuerdo con la política de seguridad de la información de la organización, las políticas, las reglas y los estándares específicos del tema.
  • 37 Procedimientos operativos documentados: los procedimientos operativos para las instalaciones de procesamiento de información deben documentarse y ponerse a disposición del personal que los necesite. El propósito de este control es garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información.

Aunque llegamos al final del apartado 5, en ISOTools seguiremos informando sobre ISO/IEC 27002: 2022, porque, como pioneros y expertos, nos corresponde expresar todo lo que conocemos acerca de este estándar, pues nuestros asesores están ampliamente familiarizados y listos para acompañarte en tu recorrido hacia la excelencia.

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Fundamentos de gestión de Seguridad de la Información

¿Desea saber más?

Entradas relacionadas

Implementar una estrategia de sostenibilidad paso a paso

Estrategia de sostenibilidad A través de la estrategia de sostenibilidad, las organizaciones establecen cuál es su orientación hasta…

Ver más
Ventajas SGSI
Ventajas de tener un sistema de gestión de seguridad de la información (II)

Sistema de Gestión Seguridad de la Información En el anterior artículo tratamos cómo las organizaciones se beneficias del…

Ver más
Riesgos IT
¿Cómo gestionar riesgos IT con la nueva ISO 27002?

Riesgos IT Lo primero que debemos saber antes de abordar cómo gestionar los riesgos en tecnologías de la…

Ver más